waf绕过总结开篇

最新推荐文章于 2024-06-10 15:54:52 发布
最新推荐文章于 2024-06-10 15:54:52 发布
阅读量589 收藏
点赞数
分类专栏: 小迪安全学习日志 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61786761/article/details/126650993
版权

waf绕过
1.导图
信息收集:
测试环境:
  aliyun-os,bt,safedog
绕过分析:
  抓包技术,waf说明,fuzzing测试
绕过手法:
   数据包特征:请求方式,模拟用户,爬虫引擎,白名单机制
   请求速度:延时,代理池,爬虫机制,白名单机制。
  
2.分为四块:
  信息收集绕过
  漏洞发现绕过
  漏洞利用绕过
  权限控制绕过

3.绕过
未开cc防护:注意请求方式是否和人工请求时相同。
开上cc防护:注意流量监测。

waf绕过之漏洞发现之代理池指纹识别
1.导图
漏洞发现
工具:
  综合:awvs,xray,appscan
  单点:tpscan,wpscan,struts2-scan
触发:
  扫描速度:延时,代理池,白名单
  工具指纹:特征修改,模拟用户
  漏洞payload:数据变异,冷门扫描。

ee .
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
不止防JSON技术绕过,RASP相比WAF的七大技术优势
weixin_55163056的博客
12-16 472
“贴身保镖”RASP
wuyun知识库目录
Grey的博客
01-15 7412
1269.利用Office宏及Powershell的针对性攻击样本分析2016-06-24 1268.SQL注入关联分析2016-06-24 1267.Android安全开发之ZIP文件目录遍历2016-06-23 1266.search-guard 在 Elasticsearch 2.3 上的运用2016-06-23 1265.签名加密破除-burp插件在app接口fuzz中的运用201
爬虫进阶路程3——绕开selenium反爬
qq_30095631的博客
12-15 1249
    在《爬虫进阶路程1——开篇》中说道过,自己本以为使用了selenium就万事大吉了,结果发现使用selenium之后还是死了的,似乎别人的代码能够识别出自己使用了selenium,查资料下来确实如此,反爬手段其实也简单,就是去获取你当前浏览器的一些基本信息,如果包含了selenium打开浏览器的一些特征,就认为你是selenium,而不是正常的浏览器。知道他反爬的原理,其实就知道怎么解决了,无非两种: 在他进行特征判断之前进行篡改,如果你是客户端判断,就要修改源代码,如果是服务端判断,就要修改请求
mysql 00FALSE_False注入,以及SQL注入技巧总结
weixin_34976470的博客
01-30 407
title: False注入,以及SQL注入技巧总结date: 2017-04-25 00:23:31tags: ['SQL注入']利用False我们可以绕过一些特定的WAF以及一些未来不确定的因素,其中有些姿势之前了解但是没有去深入,这次做一个归纳总结。0x01 False Injection0 :引子首先我们常见的注入1=10<1''=''这些都是基于1=1这样的值得比较的普通注入,下面...
从Log4j和Fastjson RCE漏洞认识jndi注入
道阻且长,行则将至。
06-10 1231
本文学习了 JNDI 基本概念和 JNDI 注入的基本原理,并通过靶场实践 JNDI 注入漏洞的利用过程,与此同时学习了 Log4j RCE 漏洞(CVE-2021-44228)和 Fastjson 反序列化漏洞(CVE-2017-18349)的原理,并通过靶场实践借助 JNDI 注入完成 RCE 的过程。
【技术思路】极客时间-左耳听风-开篇词1
weixin_30872157的博客
12-27 1172
开篇词 | 洞悉技术的本质,享受科技的乐趣 01 | 程序员如何用技术变现(上) 独立:没有必要通过打工听人安排而活着,而是反过来通过在公司工作提高自己的技能,让自己可以更为独立和自由地生活。 思考:留出更多的时间,去研究公司里外那些更为核心更有技术含量的技术。 02 | 程序员如何用技术变现(下) 学习力:能够掌握大多数人不能掌握的技能或技术,学习更多别人没有的经验和经历。 洞察...
web应用安全防御100技
hyr352114576的博客
12-15 946
原文:http://danqingdani.blog.163.com/blog/static/186094195201411204383402/ 作者:碳基体 如何进行web应用安全防御,是每个web安全从业者都会被问到的问题,非常不好回答,容易过于肤浅或流于理论,要阐明清楚,答案就是一本书的长度。而本文要介绍一本能很好回答这个问题的优秀书籍——《web applica
网安学习路线
qq_45877696的博客
10-16 372
1.CSS的基本介绍2.CSS常用属性-盒子3.CSS样式表的基本使用4.CSS选择器-基础选择器5.CSS选择器-高级选择器6.CSS继承性和层叠性C++简述C++标准C++的应用场景第一个C++程序安卓逆向有何意义安卓逆向的学习路径安卓逆向的发展和就业前景安卓逆向基本思路需要掌握的技能点最佳实践第三方测评机构等保测评师岗位安全产品服务和厂商关保:关键信息基础设施保护分保:涉及国家秘密的信息系统分级保护管理办法重保:重要时期安全保障服务ISO27000体系。
web安全编程防御
panther的专栏
12-23 2822
如何进行web应用安全防御,是每个web安全从业者都会被问到的问题,非常不好回答,容易过于肤浅或流于理论,要阐明清楚,答案就是一本书的长度。而本文要介绍一本能很好回答这个问题的优秀书籍——《web application defender's cookbook》,这 是一本被低估的“干货”书籍,虽然是为ModSecurity量身定制,但里面提到的防御技巧对web安全从业者均有启发,是WAF版的孙子
WAF绕过的各种方法总结.pdf
07-09
WAF绕过的各种方法总结总结语2019年7月9日,仅供学习参考,请勿用于非法用途
WAF绕过神器
12-14
顾名思义,铁鹰所创建的一款WAF绕过神器1.0版本。。。
长亭waf绕过1.pdf
07-09
长亭waf绕过1
waf是如何被绕过
12-30
介绍了白名单绕过、IP段白名单绕过绕过代理直接请求源站(代理模式云WAF)等绕过方式。适合初学者进行学习,不适合高手。
sql注入绕过方法总结
12-19
sql注入绕过方法总结绕过waf,D盾
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8339
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
计算机监测与维护实习研究报告.doc
07-18
计算机
110N10F7-VB一种N-Channel沟道TO220封装MOS管
最新发布
07-18
110N10F7-VB;Package:TO220;Configuration:Single-N-Channel;VDS:100V;VGS:20(±V);Vth:3V;RDS(ON)=5mΩ@VGS=10V;ID:120A;Technology:Trench;
《单片机原理与接口技术》--试卷A及参考答案.doc
07-18
单片机
waf绕过cookie
08-09
WAF绕过Cookie主要是通过修改请求方式或使用复参数绕过的方法。其中,修改请求方式是最常见且典型的绕过方式。在一些ASP或ASPx网站中,WAF可能对GET请求进行了过滤,但对Cookie甚至POST参数没有进行检测。因此,攻击...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ee .

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值